跳至主要內容
  • Hostloc 空間訪問刷分
  • 售賣場
  • 廣告位
  • 賣站?

4563博客

全新的繁體中文 WordPress 網站
  • 首頁
  • 用 docker 隔离不同用户
未分類
15 6 月 2020

用 docker 隔离不同用户

用 docker 隔离不同用户

資深大佬 : cnt2ex 10

服务器上多个用户,很多时候这些用户需要安装一些包,但我又不想直接给他们 root 权限,现在是打算给每个用户一个容器,然后容器里拥有 root 权限,让他们在容器里装自己需要的包。

有办法把用户限制在容器里,ssh 登录后直接进入自己的容器吗?

大佬有話說 (24)

  • 資深大佬 : whi147

    我建议噢,用 kvm

  • 資深大佬 : cloudbeyond

    听 1 的,Docker 不适用于你的场景

  • 資深大佬 : rayhy

    dockerfile 里面直接安装 sshd 呀,然后把 22 端口映射到外部随便一个端口比如 50001,用户直接 ssh [email protected] -p 50001 。

    docker 官方文档里面就有教程: https://docs.docker.com/engine/examples/running_ssh_service/

  • 主 資深大佬 : cnt2ex

    @whi147
    @cloudbeyond
    我再看看

    @rayhy 这样每个用户都得分配一个端口

  • 資深大佬 : Ultraman

    不想一人一个端口,那就给其他所有人一块开一个容器,随他们折腾。

  • 資深大佬 : Osk

    lxc 如何?

  • 資深大佬 : yulgang

    听 1 的

  • 資深大佬 : singerll

    我要是想装 docker 怎么办?

  • 資深大佬 : liuxu

    1 说的没错,virtualbox 也适合,有 headless

  • 資深大佬 : joesonw

    docker 只做资源隔离. docker 不管安全. 都可以装包了, root 不 root 有什么区别? 装个可以提权的包不就好了.

  • 資深大佬 : ETiV

    如果需求只是安装包,给他们用 brew

    现在支持 Linux 了

  • 資深大佬 : Jirajine

    docker 自带的 usermap 功能

  • 資深大佬 : yuzunzhi

    你的需求就是更适合用虚拟机解决,如上所说,各种虚拟化技术随便。
    另外对于运维来说,不把 docker 用成虚拟机已经是个很低很低的底限了。

  • 資深大佬 : dapang1221

    docker 逃逸了解一下,根本防不住有心攻击的人

  • 資深大佬 : baymax123456

    @singerll docker on docker

  • 資深大佬 : swulling

    @cnt2ex 6w 个端口还不够分么,你有几个用户?

  • 資深大佬 : dorothyREN

    先安装好 docker,然后给每个用户的登录 shell 改成 docker exec -it {docker 实例} /bin/bash 理论上可行。

  • 資深大佬 : fengdra

    可以试试 rootless 容器,这样每个人可以单独开,不用统一配置

  • 資深大佬 : widewing

    用 lxc

  • 資深大佬 : LokiSharp

    CentOS 8 的 Podman 是 rootless 的,可以试试

  • 資深大佬 : silentx

    docker 直接 pull ubuntu 好了 先把 ssh start 起来 然后挂住

    ip 用 docker 开 macvlan 每个 container 分配一个 ip 就好了

    这样每个人都相当与有一台自己的 ubuntu 了 还都是 root

  • 資深大佬 : CodeCodeStudy

    注意要限制资源的使用
    –cpus
    -m
    –device-write-bps

    我就碰到过没限制容器的 CPU 使用率,导致宿主机挂了的情况

  • 資深大佬 : tomychen

    chroot

  • 資深大佬 : yanqiyu

    建议使用 podman 之类的 rootless 容器,实现可以参考 Fedora 提供的 toolbox
    特性
    1 )全程用户没有特权
    2 )在容器中表现为 root 权限,可以正常安装软件,配置开发环境
    3 ) proc 、home 等分区会正常挂载,保证使用体验无缝,如果是带图形的话 dbus 以及 X socket 也会处理
    ——–
    对于用户而言大家都不给 sudo,让他们使用 toolbox 进入自己的环境
    ——–
    因为是 rootless 容器,哪怕被橄榄权限也不会超过用户本来的权限,不会对于系统造成破坏

文章導覽

上一篇文章
下一篇文章

AD

其他操作

  • 登入
  • 訂閱網站內容的資訊提供
  • 訂閱留言的資訊提供
  • WordPress.org 台灣繁體中文

51la

4563博客

全新的繁體中文 WordPress 網站
返回頂端
本站採用 WordPress 建置 | 佈景主題採用 GretaThemes 所設計的 Memory
4563博客
  • Hostloc 空間訪問刷分
  • 售賣場
  • 廣告位
  • 賣站?
在這裡新增小工具